تشخیص آنتی ویروس [بایگانی]

dkhatibi

سه شنبه 12 اردیبهشت 1385, 22:21 عصر

چه جوری می شه تشخیص داد رو کامپیوتر آنتی ویروس نصبه یا نه (به کمک برنامه)

ghabil

سه شنبه 12 اردیبهشت 1385, 23:06 عصر

از تو رجیستری هر کدوم از آنتی ویروسای معروف تو رجیستری با آدرسه معلوم واسه خودشون کلید دارند.

پ . ن : تو نافرم مشکوک میزنی که بخوای Trojan بنویسی ;)

dkhatibi

چهارشنبه 13 اردیبهشت 1385, 11:16 صبح

مطمئنا این روش منطقی نیست.
مثلا ویندوز اگر آنتی ویروسی نصب نباشه تشخیص می ده بدون ان که نوع آن را بررسی کند
اگر راه حل بهتری دارید بگذارید.

ghabil

پنج شنبه 14 اردیبهشت 1385, 12:47 عصر

چون شما "مطمئن" هستی که این روش مطنقی نیست ، من هم به منطقی بودنش شک میکنم ، اما اگر اجازه بدین در راستای همین راه حل غیر منطقی یک توضیح غیر منطقی دیگه هم بدم : ویندوز هم از روی کلیدهای رجیستری آنتی ویروسها رو پیدا می کنه و برای همین هم هست که در Security Center شما میتونید بگید که از آنتی ویروسی استفاده میکنید که ویندوز نشناختتش . البته آنتی ویروسهای جدید بعضی هاشون در ویندوز ایکس پی خودشون را در رجیستری در قسمت Security Center در رجیستر می کنند.
امل کلا می خواستم ازت بپرسم چطوری ویندوز میتونه بفهمه که یک نوع خاص از یک نرم افزار نصب شده یا نه ؟ (جدای از اینکه ویندوز از این روش استفاده بکنه یا نکنه می تونی یک روش منطقی بگی ؟)

dkhatibi

دوشنبه 18 اردیبهشت 1385, 15:02 عصر

نمی دونم
اگه می دونستم نمی پرسیدم؟!!!
باز هم متشکرم
حالا بگید چه جوری تشخیص بدم یک برنامه ی گارد وجود دارد؟

ghabil

سه شنبه 19 اردیبهشت 1385, 23:03 عصر

ببین اگر بگی دقیقا میخوای چی کار کنی شاید راحتتر بشه کمک کرد ، به هر حال من فکر نمی کنم راهی باشه که دقیقا بهت بگه گاردی هست یا نه بلکه خودت باید دنبالش بگردی حالا یا تو رجیستری یا تو Proccessها یا با سعی و خطا

dkhatibi

سه شنبه 19 اردیبهشت 1385, 23:23 عصر

می خوام بدونم آیا آنتی ویروس روی دستگاه نصب است که یک برنامه ی هک را تشخیصدهد یا خیر؟

Inprise

چهارشنبه 20 اردیبهشت 1385, 05:05 صبح

روی SP2 و بعد از اون ، میتونی از طریق WMI از Security Center در مورد فایروال و آنتی ویروس سیستم سوال کنی ؛ برای ویندوزهای قدیمی تر تنها راه بررسی موردی آنتی ویروسهای معروف و متداول برای وجود کلیدهای رجیستری یا سرویسهای فعال هست ؛ مثلا" با فعال بودن آنتی ویروس Kaspersky همیشه سرویسی بنام Kav روی سیستم در حال اجراست ...

dkhatibi

چهارشنبه 20 اردیبهشت 1385, 09:36 صبح

چه جوری می شه این کار را انجام داد؟

ali virus

پنج شنبه 08 فروردین 1387, 18:41 عصر

dkhatibi

پنج شنبه 08 فروردین 1387, 23:09 عصر

به نظر من شما باید بگردی درایو ویندوز رو پیدا کنی
هرچند 2 سالی از این تاپیک می گذره و نمی دونم چه جوری اونو پیدا کردین و دنبای چی می گشتین. ابز هم ممنون.
منظور از درایور جیه؟

vcldeveloper

جمعه 09 فروردین 1387, 02:49 صبح

به نظر من شما باید بگردی درایو ویندوز رو پیدا کنی . بعد مسیر نصب اتوماتیک آنتی رو هم که پیدا کردی اون وقت با یه دستور ساده آنتی ویروس از بین میره . یعنی شما باید فایل اصلی رو پاک کنی . این روش همیشه شاید جواب نده . ولی بیشتر افراد آنتی رو توی مسیر پیشفرض نصب می کنن .
برای اینکه متوجه بشید آنتی ویروس ها اونقدر احمقانه نوشته نمیشند که با همچین روش بچگانه ایی حذف بشند، می تونید به عنوان مثال، کاسپیرسکی رو روی سیستمتون نصب کنید و سعی کنید یکی از فایلهای موجود در پوشه نصب آن را حذف کنید، یا فایلی به این پوشه اضافه کنید. اونوقت متوجه میشید که این برنامه اصلا اجازه تغییر از طرف کاربر روی پوشه نصب برنامه یا فایلهای موجود در آن رو نمیده.

Cave_Man

جمعه 09 فروردین 1387, 12:24 عصر

خیلی جالبه میشه بگید چطور یه برنامه میتونه چنین اختیاری رو داشته باشه که از ایجاد یا حذف یک سری فایل ها در یک پوشه جلوگیری کنه.

ali virus

جمعه 09 فروردین 1387, 17:11 عصر

vcldeveloper

جمعه 09 فروردین 1387, 17:26 عصر

نمیدونم آقای کشاورز عزیز این اطلاعات رو از کجا گرفتن . دوست من این روش که من میگم عملی هستش . شما همین الان برو و فایل اصلی آنتی رو Delete کن . ببین میشه یا نه . تازه این دستوری رو که من نوشته بودم (kill) فایل رو از بیخ و بن نابود میکنه .
مسئله ایی نیست. من هم گفتم شما برو و سعی کن یکی از فایل های موجود در پوشه نصب Kaspersky را حذف کنی حالا میخواد فایل EXE آنتی ویروس باشه، یا هر فایل دیگه ایی در اون پوشه. اگر تونستید این کار رو با اون روشی که گفتید (دستور Kill در VB) انجام بدید، به ما هم اطلاع بدید تا این روش رو مدنظر قرار بدیم!

dkhatibi

جمعه 09 فروردین 1387, 19:13 عصر

مسئله ایی نیست. من هم گفتم شما برو و سعی کن
این گفته ی جناب کشاورز را در مورد نورتن 2007 را نیز من تاییدمی کنم.

ali virus

یک شنبه 11 فروردین 1387, 16:46 عصر

سلام آقای کشاورز ( دوست عزیز بنده ) .
وقتی که برنامه آنتی ویروس رو از کار بندازی دیگه آنتی ویروس هیچ کنترلی رو اون پوشه ها نداره . این کار رو هم بوسیله یه تابع در ویژوال میشه انجام داد. برای از کار انداختن آنتی هم باید اون رو از لیست پروسس ها خارج کرد . بعد دستور KILL اجرا کرد .
END OF PROGRAM

مهران موسوی

یک شنبه 11 فروردین 1387, 18:02 عصر

دوست عزیز انتی ویروسها جدید قدرتمند تر از این حرفا هستن که بشه با یک Remove Frome Processes List اونا رو به راحتی از کار انداخت .... هر کدوم از اونا یک سرویس رو برای خودشون به ثبت میرسونن که در مقابل حملات احتمالی از طرف ویروس ها از اونها حمایت میکنه ...

مثلا شما برو و فایل Nod32krn.exe رو از لیست Processes های در حال اجرا حذف کن ... میبینی که بلافاصله بعد از حذف شدن به لیست اظافه میشه .... البته این Processes مربوط به انتی ویروس NOD32 هستش ... این نشون دهنده ی این هست که شما به راحتی نمیتونید NOD32 رو دور بزنید و اون رو از کار بندازید ....

به نظر من دوستان به راحتی با در اختیار داشتن نام Kernel های انتی ویروسهای معروف و جستجوی اونها در لیست Processes های در حال اجرا میتونن صحت وجود انتی ویروس رو تشخیص بدن ... حتی میشه نوع انتی ویروس رو هم تشخیص داد ...

dkhatibi

دوشنبه 12 فروردین 1387, 11:09 صبح

دوست عزیز انتی ویروسها جدید قدرتمند تر از این حرفا هستن که بشه با یک Remove Frome Processes List اونا رو به راحتی از کار انداخت
بله
اگر قرار بود به راحتی بشه این کار کرد. ویروسها همچنین کاری انجام می دادن و در نتیجه عملا وجود آنتی ویروسها بی ثمر بود.

ali virus

دوشنبه 12 فروردین 1387, 18:59 عصر

میدونم این کار سخته ولی کرم NETSKY.Q چطوری این کار رو میکنه .

lord_viper

سه شنبه 13 فروردین 1387, 08:18 صبح

میدونم این کار سخته ولی کرم NETSKY.Q چطوری این کار رو میکنه .
با استفاده از اشتباهات موجود در برنامه(bug)در ضمن
در مورد bypass کردن انتیها در بخش امنیت نرم افزار اصلاعات جالبی هست میتونین ازشون استفاده کنین

kevin.programmer

سه شنبه 13 فروردین 1387, 10:21 صبح

با سلام خدمت دوستان من کوین هستم البته این اسم مستعار من هستش و دوست دارم من رو با این اسم صدا کنید.
اما موضوع اصلی این که چطور می شه یک انتی ویروس قوی رو مثل کاسپراس کی رو از کار انداخت.در همین اول کار بگم از کار انداختن یک چنین انتی ویروسی ممکن نیست مگر اینگه یکی از سرویس های اون رو از کار انداخت.اما این جا هم یک اشکال وجود داره برای اینکه به محض از کار افتادن سرویس از طرف انتی ویروس گزارش می شه به کاربر که سرویس انتی ویروس از کار افتاده.اما برای انتی ویروس های ساده مثل مک افی و یا نورتون یک تکنیک کلی وجود داره.و اون دستور زیر هست که می شه در مورد این انتی ویروس ها به کار برد.

sc stop name of antivirus service

البته با این دستور نمی شه سرویس انتی ویروس های کاسپراس کی رو از کار انداخت
دوستان گفته بودند اگر یک سرویس یک انتی ویروس از بیفته دوباره اون انتی ویروس فعال می شه برای این گونه انتی ویروس ها هم یک تکنیک کلی وجود دارد باید پیکره بندی اون سرویس رو تغییر داد اما چگونه.من می گم با این دستور ساده زیر که البته در ویندوز این دستور پشتیبانی می شه

sc config name of antivirus service start=disabled error= normal

سپس با دستوری که قبلا دادم اقدام به متوقف کردن سوریس انتی ویروس کنید

اما برای از کار انداختن کاسپراس کی من برنامه دارم اما به خاطر یک سری مسائل نمی تونم این رو به بچه ها بدم.ولی راهنمایی می کنم .
برای از کار انداختن کاسپراس کی بهترین راه تغییر در بعضی از کلید های ریجستری این انتی ویروس هست.به عبارتی بعضی از کلید های ریجستری این انتی ویروس قابل حذف شدن هست می تونید با دستورات برنامه نویسی این کلید ها رو حذف کنید یا تغییر بدید در این صورت از عملکرد درست انتی ویروس جلوگیری می شه.ولی هنوز انتی ویروس کار می کنه.برای پیداکردن کلید های ریجستری ای انتی ویروس کافی است در ویرایشگر ریجستری از منوی ادیت گزینه فایند رو انتخاب کنید و نام این انتی ویروس یا نام سرویس در حال اجرا ان را که در زیر نوشتم بنویسد در این صورت بشیاری از کلید های مهم این انتی ویروس رو می شه
kaspresky
avp

با تشکر کوین